【文章內(nèi)容簡介】 等；性能管理：主要包括性能數(shù)據(jù)可視化、閾值設(shè)置和報警、性能分析和預(yù)測、性能策略支持等；失效管理：主要包括故障定位、故障報警、故障恢復(fù)等；安全管理：訪問認證和授權(quán)、網(wǎng)絡(luò)隔離、遠程訪問控制、應(yīng)用訪問控制等。. 組合豐富的VLAN功能進行業(yè)務(wù)隔離大部分網(wǎng)絡(luò)設(shè)備都可以提供對VLAN功能的完善的支持，通過VLAN的劃分，可以區(qū)分不同的業(yè)務(wù)，靈活的根據(jù)端口、MAC等進行VLAN的劃分，實現(xiàn)對各種業(yè)務(wù)的有效的隔離。同時，通過各種特性VLAN的部署，可以更加靈活的實現(xiàn)網(wǎng)絡(luò)流量和業(yè)務(wù)的隔離，比如，通過PVLAN技術(shù)，可以實現(xiàn)同一個VLAN內(nèi)部服務(wù)器之間相互訪問的隔離；通過動態(tài)VLAN的部署，可以實現(xiàn)用戶在任何位置接入網(wǎng)絡(luò)都能被隔離到自己所屬的VLAN中。. 配置防火墻進行網(wǎng)絡(luò)區(qū)域的隔離防火墻是網(wǎng)絡(luò)層的核心防護措施，它可以對整個網(wǎng)絡(luò)進行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊（ping of death, land, syn flooding, ping flooding, tear drop, …）、端口掃描（port scanning）、IP欺騙(ip spoofing)、IP盜用等進行有效防護；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認證、IP與MAC綁定等安全增強措施。在南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)中，可以在以下位置部署防火墻和IPS產(chǎn)品：數(shù)據(jù)中心需要通過防火墻進行有效的隔離，網(wǎng)絡(luò)安全隔離一直是Internet技術(shù)發(fā)展的重要研究課題。以太網(wǎng)技術(shù)如何和安全隔離技術(shù)融合，提供給南京藝術(shù)學(xué)院校園用戶一個安全、可靠的網(wǎng)絡(luò)環(huán)境是以太網(wǎng)交換機在組網(wǎng)應(yīng)用中一個常見的問題。為了能夠確保用戶的安全需求，并提供一體化的解決思路，在，可以根據(jù)用戶對于安全防護的考慮，將Secure VLAN技術(shù)融入到VLA技術(shù)中，可以實現(xiàn)對內(nèi)網(wǎng)，DMZ多個區(qū)域的保護，可以用于內(nèi)網(wǎng)的VLAN跨區(qū)域保護。另外數(shù)據(jù)中心集中了大量的服務(wù)器，小型機和數(shù)據(jù)庫系統(tǒng)，他們是整個網(wǎng)絡(luò)的大腦，為網(wǎng)絡(luò)提供各種應(yīng)用，對于數(shù)據(jù)中心服務(wù)器安全的保障方面H3C提供的虛擬補丁功能可以提供用戶對各類操作系統(tǒng)的免安裝補丁服務(wù)，高性能的入侵防御系統(tǒng)能作為虛擬軟件補丁，保護網(wǎng)絡(luò)中尚未安裝補丁、具有漏洞的計算機免于遭受侵害。在惡意程序?qū)︻A(yù)定目標進行攻擊時，虛擬補丁程序就會立即“現(xiàn)身”— 確定并阻擋發(fā)送來的惡意通訊。這種虛擬補丁程序之所以如此有效，是因為它采用了高精確的漏洞過濾器技術(shù)。這種專門設(shè)計的過濾器可應(yīng)對最大范圍的攻擊和應(yīng)對最大彈性的規(guī)避。Internet邊界防火墻部署：南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)出口包括多個應(yīng)用安全區(qū)域：基本可分為互連網(wǎng)出口區(qū)，對外服務(wù)區(qū)，內(nèi)網(wǎng)區(qū)域，我們建議在核心交換機Internet路由器之間配置防火墻，在實現(xiàn)安全控制的同時保證線路的可靠性；此防火墻的配置策略我們建議如下：? 配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒絕服務(wù)攻擊進行防范；? 配置防火墻全面安全防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等；? 防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；由外往內(nèi)的訪問控制規(guī)則：? 在防火墻上設(shè)置允許VPN協(xié)議數(shù)據(jù)包穿越防火墻，滿足移動用戶通過IPSec VPN和分支機構(gòu)VPN網(wǎng)關(guān)訪問內(nèi)網(wǎng)的需求；? 通過防火墻的訪問控制策略，拒絕任何來自Internet對內(nèi)網(wǎng)的訪問數(shù)據(jù)，保證任何Internet數(shù)據(jù)都不能主動進入內(nèi)部網(wǎng)，屏蔽所有來自Internet的攻擊行為；由內(nèi)往外的訪問控制規(guī)則：? 通過防火墻的訪問控制策略，對內(nèi)部用戶訪問Internet進行基于IP地址的控制，初步實現(xiàn)控制內(nèi)部用戶能否訪問Internet，能夠訪問什么樣的Inertnet資源；? 通過配置防火墻提供的IP/MAC地址綁定功能，以及身份認證功能，提供對內(nèi)部用戶訪問Internet的更嚴格有效的控制能力，加強內(nèi)部用戶訪問Internet控制能力；? 通過配置防火墻提供的SMTP郵件過濾功能和HTTP內(nèi)容過濾，實現(xiàn)對用戶訪問Internet的細粒度的訪問控制能力，實現(xiàn)基本的用戶訪問Internet的行為管理；防火墻是以網(wǎng)絡(luò)層為核心的防護措施，它可以對整個網(wǎng)絡(luò)進行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊（ping of death, land, syn flooding, ping flooding, tear drop, …）、端口掃描（port scanning）、IP欺騙(ip spoofing)、IP盜用等進行有效防護；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認證、IP與MAC綁定等安全增強措施。. 用戶層解決方案網(wǎng)絡(luò)環(huán)境下的防病毒必須層層設(shè)防，逐層把關(guān)，堵住病毒傳播的各種可能途徑，為南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)系統(tǒng)提供一個穩(wěn)定高效、技術(shù)一流、方便管理、服務(wù)周全的網(wǎng)絡(luò)病毒防護體系，網(wǎng)絡(luò)防病毒體系主要包括：216。 網(wǎng)關(guān)防病毒：Internet是現(xiàn)在病毒傳播的一個最主要的路徑，訪問Internet網(wǎng)站可能會感染蠕蟲病毒，從Internet下載軟件和數(shù)據(jù)可能會同時把病毒、黑客程序都帶進來，對外開放的WEB服務(wù)器也可能在接受來自Internet的訪問時被感染上病毒。因此需要在南京藝術(shù)學(xué)院校園與Internet接口處重點防范病毒的傳播。216。 郵件防病毒：郵件附件是當(dāng)前網(wǎng)絡(luò)病毒傳播的一個重要途徑，因此要在郵件服務(wù)器上配置郵件防病毒軟件，檢查所有從郵件服務(wù)器發(fā)送和接收的郵件，特別是其郵件附件。另一方面，防范郵件病毒傳播要加強對用戶的安全教育，對于所有來源不明的郵件不要輕易打開，特別是其附帶的郵件附件。在打開郵件之前，最好打電話與發(fā)件人確認，因為很多郵件病毒是自動從通訊錄中查找收件人的。發(fā)送郵件時，最好不要使用復(fù)雜的格式，可以直接使用純文本格式，這樣郵件帶病毒傳播的機會就很小了。216。 服務(wù)器防病毒：對重要的服務(wù)器，配置服務(wù)器防病毒軟件，南京藝術(shù)學(xué)院校園包含了大量復(fù)雜的應(yīng)用系統(tǒng)，需要大量的不同平臺的服務(wù)器，我們建議對這些服務(wù)器分別安裝防病毒系統(tǒng)，加強這些重點服務(wù)器的病毒防范能力。216。 主機防病毒：網(wǎng)絡(luò)中的主要用戶使很多主機終端，因此必須為所有的單機，特別是一些處理關(guān)鍵業(yè)務(wù)的用戶機配置主機防病毒軟件。216。 集中控管能力：防病毒需要具有集中控管能力，對所有的防病毒產(chǎn)品模塊提供一個集中的管理機制，監(jiān)控各個防毒產(chǎn)品的防殺狀態(tài)，病毒碼及殺毒引擎的更新升級等，并在各個防毒產(chǎn)品上收集病毒防護情況的日志，并進行分析報告。l 設(shè)備選型建議：216。 我們建議選擇瑞星的網(wǎng)絡(luò)防病毒解決方案. 業(yè)務(wù)層解決方案. 設(shè)備冗余及網(wǎng)絡(luò)存儲配置建議業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個很重要的特性，可靠性與可用性的重要基礎(chǔ)是各種設(shè)備的冗余配置，下面我們對業(yè)務(wù)系統(tǒng)的涉及到的設(shè)備（主要是服務(wù)器和存儲系統(tǒng)）進行分析，并給出建議性的配置方案，主要包括：服務(wù)器可以采用的冗余配置主要包括冗余電源、冗余CPU、冗余網(wǎng)卡等重要的配件的冗余配置，對于核心服務(wù)器可以采用雙機熱備措施來保證服務(wù)的不間斷性，現(xiàn)在有很成熟的系統(tǒng)支持這種應(yīng)用模式。存儲系統(tǒng)的冗余配置是最重要的，因為數(shù)據(jù)安全才是整個安全系統(tǒng)的根本目的，數(shù)據(jù)的可靠性和可用性是數(shù)據(jù)安全的根本。存儲系統(tǒng)主要的冗余配置模式是磁盤陣列系統(tǒng)，現(xiàn)在磁盤陣列技術(shù)已經(jīng)發(fā)展得很完善了，各種現(xiàn)有的存儲設(shè)備對磁盤陣列的技術(shù)的支持也已經(jīng)完善了，另外在磁盤陣列的基礎(chǔ)上發(fā)展起來的網(wǎng)絡(luò)存儲系統(tǒng)（SAN、SNA），提供了更高的存儲性能和可靠性。. 漏洞掃描及安全評估系統(tǒng)的配置為了事先發(fā)現(xiàn)網(wǎng)絡(luò)中各種操作系統(tǒng)和應(yīng)用平臺的安全性，可以采用漏洞掃描系統(tǒng)對重要的服務(wù)器先進行掃描，以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞和安全薄弱環(huán)節(jié)，通過漏洞掃描系統(tǒng)可以解決我們前面分析的操作系統(tǒng)以及服務(wù)平臺的安全隱患。漏洞掃描系統(tǒng)在網(wǎng)絡(luò)當(dāng)中并不是一個實時啟動的系統(tǒng)，只需要定期掛接到網(wǎng)絡(luò)中，對當(dāng)前網(wǎng)段上的重點服務(wù)器（如WEB服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、主域服務(wù)器等）以及主機進行一次掃描，即可得到當(dāng)前系統(tǒng)中存在的各種安全漏洞，并會針對性地提出補救措施。. 應(yīng)用系統(tǒng)開發(fā)中加強安全機制我們建議南京藝術(shù)學(xué)院校園在應(yīng)用系統(tǒng)開發(fā)時，要在應(yīng)用程序中加強對程序代碼的控制，提高應(yīng)用系統(tǒng)自身的安全性，在開發(fā)應(yīng)用系統(tǒng)時，有以下幾個方面要特別注意：1） 要加強對輸入的判斷，除了在瀏覽器端要進行簡單的判斷之外，更主要的是要在服務(wù)器端做相應(yīng)的判斷：一要檢查輸入值的長度和大??；二要檢查輸入值中是否帶有非法字符，特別是在WEB應(yīng)用中的單引號和一些控制字符。2） 在調(diào)用數(shù)據(jù)庫資源時，要使用類似ODBC的接口，不要把數(shù)據(jù)庫對象、對數(shù)據(jù)庫具有操作權(quán)限的用戶名、帳號等信息泄漏在WEB CGI程序中。3） 很多數(shù)據(jù)庫在安裝之后會有一個缺省的管理員帳號，且其口令一般為空或是通用口令，數(shù)據(jù)庫管理員要及時更改這些帳號，并且設(shè)置高強度的口令字。4） 在WEB服務(wù)器上，要檢查每一個目錄、文件上的權(quán)限是否合適，如是否可以列表、讀取、執(zhí)行等，源程序或腳本是否可下載等。6. 校園管理中心設(shè)計. 數(shù)字化校園管理綜述“十五”期間數(shù)字化校園信息化建設(shè)取得了輝煌成果，基本實現(xiàn)了高帶寬、廣覆蓋、可運營、可管理的數(shù)字化校園硬件平臺，完成了學(xué)校基本的教學(xué)、科研、管理和服務(wù)系統(tǒng)的信息化建設(shè)。具體來說，在基礎(chǔ)設(shè)施建設(shè)方面，完成了校園網(wǎng)改造、升級，解決了骨干帶寬、出口帶寬的問題；大規(guī)模的建設(shè)了學(xué)生宿舍區(qū)和校區(qū)的網(wǎng)絡(luò)，實現(xiàn)了校園網(wǎng)絡(luò)的大范圍覆蓋問題；開展了認證、計費、管理和網(wǎng)絡(luò)安全方面的建設(shè)。在應(yīng)用系統(tǒng)建設(shè)方面，實現(xiàn)了網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字化圖書館系統(tǒng)和網(wǎng)絡(luò)實驗室系統(tǒng)等面向教學(xué)和科研的應(yīng)用系統(tǒng)；在校園管理信息系統(tǒng)、辦公自動化系統(tǒng)、社區(qū)服務(wù)系統(tǒng)、一卡通系統(tǒng)等方面也取得了一定的成績。但當(dāng)前數(shù)字校園網(wǎng)絡(luò)還面臨許多挑戰(zhàn)，在解決了帶寬和覆蓋問題的同時，校園網(wǎng)絡(luò)需要進一步優(yōu)化，校園網(wǎng)管理需要更加智能和易用。隨著信息技術(shù)的發(fā)展，為提高辦公效率及改善教學(xué)環(huán)境，當(dāng)前的學(xué)校越來越多地應(yīng)用了信息技術(shù)，對于網(wǎng)絡(luò)的依賴性也越來越大，學(xué)生需要上網(wǎng)查閱資料、吸收新知識、接受網(wǎng)上教學(xué)，老師需要借此了解最新科研進展。校園網(wǎng)絡(luò)上通常承載著學(xué)校的辦公系統(tǒng)、教學(xué)系統(tǒng)及學(xué)生宿舍網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)如果發(fā)生問題，會對學(xué)校的正常運作產(chǎn)生嚴重的影響。隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)日趨復(fù)雜，傳統(tǒng)的設(shè)備命令行、簡單的管理工具已經(jīng)不能夠滿足網(wǎng)絡(luò)管理的需求。業(yè)界的經(jīng)驗證明，選擇一個優(yōu)秀的網(wǎng)絡(luò)管理系統(tǒng)是保證網(wǎng)絡(luò)最大可用性的有效手段。. 集成化管理平臺H3C專注于IP產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認證培訓(xùn)體系，為您提供客戶化、特性豐富、性價比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商，H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心（H3C Intelligent Management Center，以下簡稱H3C iMC）。H3C iMC是H3C IToIP解決方案的統(tǒng)一管理中心，基于SOA架構(gòu)，采用靈活的組件化結(jié)構(gòu)，支持與HP Openview、SNMPc等通用網(wǎng)管平臺的集成，支持集成各多廠家設(shè)備管理系統(tǒng)，與H3C的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案，幫助客戶真正實現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。H3C iMC在IToIP解決方案中的位置H3C iMC作為IToIP解決方案核心管理系統(tǒng)，為用戶提供了靈活的組件化結(jié)構(gòu)，包括智能管理平臺、智能配置中心（iCC）、ACL管理、MPLS VPN管理、用戶接入管理、EAD解決方案、無線管理、EPON管理等業(yè)務(wù)組件，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇需要的組件，真正實現(xiàn)“按需建構(gòu)”。H3C智能管理中心解決方案架構(gòu)如下圖所示：H3C iMC解決方案架構(gòu)由上圖可以看出H3C iMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務(wù)組件組成，管理平臺提供網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管理、資源和拓撲管理、用戶管理等，而業(yè)務(wù)組件提供了相應(yīng)的業(yè)務(wù)管理功能；各個業(yè)務(wù)組件相對獨立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具有很強的可擴展性。H3C iMC智能管理平臺實現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，提供基本的網(wǎng)絡(luò)資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于B/S架構(gòu)，可以與H3C iMC 其他業(yè)務(wù)組件有效集成，形成多種解決方案。H3C iMC智能管理平臺不僅可以實現(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過標準mib實現(xiàn)對Cisco、等各主流廠商的數(shù)據(jù)通信設(shè)備管理。. 系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括：操作日志管理、操作員管理、分組分級與權(quán)限管理、操作員登錄管理等。所包含的主要功能有：操作員登錄管理管理員通過制定登錄安全策略約束操作員的登錄鑒權(quán)，實現(xiàn)操作員登錄的安全性，通過訪問控制模板約束操作員可以登錄的終端機器的IP地址范圍，避免惡意嘗試另人密碼進行登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復(fù)雜性按要求設(shè)置。操作員密碼管理管理員為操作員制定密碼控制策略，操作員僅能按照指定的策略定期修改密碼，以保證訪問iMC系統(tǒng)的安全性。分組分級權(quán)限管理管理員通過設(shè)備分組、用戶分組的設(shè)置，可以為操作員指定可以管理的指定設(shè)備分組和用戶分組，并指定其管理權(quán)限和角色，包括管理員、維護員和查看員，實現(xiàn)按角色、分權(quán)限、分資源（設(shè)備和用戶）的多層權(quán)限控制；同時通過設(shè)置下級網(wǎng)絡(luò)管理權(quán)限，可以通過限制登錄下級網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼，保證訪問下級網(wǎng)絡(luò)管理系統(tǒng)的安全性。操作日志管理對于操作員的所有操作，包括登錄、注銷